Ako splniť povinnosti vyplývajúce zo Všeobecného nariadenia o ochrane osobných údajov (GDPR)
Čo priniesli nové pravidlá
Všeobecné nariadenie o ochrane osobných údajov (GDPR) prinieslo jednotné pravidlá ochrany osobných údajov v Európskej únii. V niektorých ohľadoch bola slovenská právna úprava pred prijatím Všeobecného nariadenia prísnejšia ako terajšia. Podľa nášho názoru však bola najmä kvalitatívne iná. Použijúc slová Úradu na ochranu osobných údajov SR, ktoré uverejnil na svojej stránke, nová úprava priniesla evolúciu, nie revolúciu v tejto oblasti.
V zmysle predchádzajúcej právnej úpravy a zaužívanej praxe plnili bežní prevádzkovatelia povinnosti vyplývajúce zo zákona č. 122/2013 Z. z. o ochrane osobných údajov platného pred prijatím nariadenia často len naoko. Napríklad tým, že zapracovali súhlas so spracovaním osobných údajov do pracovných zmlúv (veľakrát nadbytočne) alebo nechali svojich zamestnancov podpísať poučenie oprávnených osôb (väčšinou bez prečítania). Reálne však problematike porozumel z bežných prevádzkovateľov málokto.
Predchádzajúca úprava ochrany osobných údajov trochu nahrávala formalizmu. Pre bežného prevádzkovateľa to bolo celkom prijateľné. Mohol formálne vyplniť evidenčný list informačného systému, poslať zamestnanca na školenie alebo ho vymenovať za zodpovednú osobu. Získal tak pocit, že niečo pre zabezpečenie súladu s predpisom urobil a často to aj stačilo. Nebolo až také dôležité tomu porozumieť, zamyslieť sa, niečo analyzovať alebo si vytvoriť názor a prijať rozhodnutie.
Všeobecné nariadenie však prinieslo (alebo malo priniesť) nevyhnutnosť konkrétneho posúdenia okolností spracovania osobných údajov u prevádzkovateľa alebo sprostredkovateľa. Je potrebné zistiť a jasne definovať právne základy a účely spracovania osobných údajov a informovať o nich dotknuté osoby. Je potrebné analyzovať nevyhnutnosť určenia zodpovednej osoby. Treba sa zamyslieť či je nutné posúdenie vplyvov. Je potrebné určiť konkrétne interné postupy a pripraviť sa na to, že si dotknuté osoby môžu uplatniť svoje práva.
Zmenil sa predpis, no to nevyhnutne neznamená, že sa zmenil aj postoj prevádzkovateľov. Všeobecné nariadenie určite prinieslo zvýšenie povedomia o ochrane osobných údajov. Veď toľko e-mailov a správ, koľko dostal bežný používateľ internetu nechalo vlažného len málokoho. Skratka GDPR vyvoláva v mnohých zmiešané pocity. Zvýšenie informovanosti o ochrane osobných údajov však neprinieslo zmenu v postoji bežných prevádzkovateľov k tejto problematike. Prijatie Všeobecného nariadenia nespôsobilo, že by sa nad ochranou osobných údajov chceli zamýšľať, analyzovať a posudzovať dôsledky.
Spolupráca s externými dodávateľmi pri splnení povinností vyplývajúcich zo Všeobecného nariadenia
Hrozba vysokých pokút, ktoré môže regulátor pre porušenie pravidiel v oblasti spracovania osobných údajov uložiť, prinútila však mnohých prevádzkovateľov vyhľadať niekoho, kto by z nich bremeno zabezpečenia súladu s ochranou osobných údajov sňal. Náš rýchly prieskum potvrdil, že ponuka na trhu je v tejto súvislosti naozaj veľká, množstvo IT firiem a advokátskych kancelárií poskytuje externé služby zabezpečenia súladu so Všeobecným nariadením. V prvom rade ponúkajú rôznu vzorovú dokumentáciu za veľmi dostupné ceny.
Z nášho pohľadu nie je vzorová dokumentácia to najvhodnejšie riešenie. Naopak, zdá sa byť v priamom rozpore s tým, čo malo Všeobecné nariadenie priniesť – s odklonom od formalizmu a kvázi splnenia povinností vyplnením akýchsi formulárov. Ak si firmy objednajú vzorovú dokumentáciu, no nepochopia princípy novej úpravy, môžu síce niečo pre zabezpečenie súladu urobiť, no v skutočnosti ho vôbec nemusia dosiahnuť.
Externé firmy ponúkajú aj možnosť komplexného outsourcingu ochrany osobných údajov. Prevádzkovateľ alebo sprostredkovateľ vtedy môže poveriť dodávateľa všetkým v tejto oblasti – od analýzy, prijatia primeraných technických a organizačných opatrení, vypracovania interných postupov a smerníc až po zabezpečenie bezpečnosti systémov a monitorovanie účinnosti technických opatrení. Externého odborníka navyše prevádzkovateľ ustanoví aj za zodpovednú osobu. Ani túto alternatívu využitia externých služieb nepovažujeme za úplne šťastnú, najmä v prípade, ak prevádzkovateľ spracúva osobné údaje klientov a má viac zamestnancov (napríklad viac ako 10). Naše prvé skúsenosti ukazujú, že pri úplnom outsourcingu u prevádzkovateľov často naďalej absentuje skutočné pochopenie problematiky.
Domnievame sa, že je vhodné, aby aj menšie podniky spracúvajúce osobné údaje klientov určili interného zamestnanca, ktorý oblasti ochrany údajov aspoň do istej miery porozumie. Interný zamestnanec môže spolupracovať s externým dodávateľom a popri tom sám získať prehľad a vedieť rýchlo zareagovať, napríklad v prípade uplatnenia práv dotknutými osobami.
Podľa nášho názoru je najvhodnejšia možnosť externej spolupráce vypracovanie dokumentácie a interných postupov na mieru. Pri takomto spôsobe zabezpečenia súladu je potrebné, aby prevádzkovateľ určil zamestnanca, ktorý s dodávateľom spolupracuje a poskytuje mu podklady.
Ak je externá služba poskytnutá dobre, mala by viesť práve k realizácii internej analýzy a k naplneniu princípu zodpovednosti prevádzkovateľa. Teda k prijatiu primeraných technických a organizačných opatrení na zabezpečenie a preukázanie spracúvania osobných údajov v súlade so Všeobecným nariadením a zákonom č. 18/2018 Z. z. o ochrane osobných údajov.
Analýza však nie je kompletná bez jej zdokumentovania. Rovnako ako je dôležité prijatie organizačných a technických opatrení, je dôležitá aj schopnosť prevádzkovateľa kedykoľvek vysvetliť, prečo prijal práve také opatrenia a postupy. Na to je najvhodnejšie zdokumentovanie internej analýzy.
Interná analýza a jej zdokumentovanie ako základ zabezpečenia súladu
Aby mohol externý dodávateľ služieb v oblasti zabezpečenia súladu so Všeobecným nariadením uskutočniť internú analýzu v súčinnosti s prevádzkovateľom, je nevyhnutné, aby sa najskôr dôkladne oboznámil s predmetom činnosti svojho klienta, s jeho existujúcou internou dokumentáciou, s mierou súladu s predchádzajúcou právnou úpravou a aby pochopil zaužívané postupy svojho klienta súvisiace so spracovaním osobných údajov.
Odporúčaným výsledkom analýzy (nielen nami, ale aj pracovnou skupinou zriadenou podľa článku 29 GDPR – tzv. WP 29) je jej zdokumentovanie. Vypracovanie dokumentu popisujúceho internú analýzu by malo byť súčasťou poskytnutia služby externým dodávateľom. Taký dokument je tiež vhodný nástroj na zhrnutie opatrení, ktoré prevádzkovateľ uskutočnil pre zabezpečenie súladu so Všeobecným nariadením. Dokument môže tiež obsahovať informácie slúžiace ako zdroj poučenia pre zamestnancov prevádzkovateľa prichádzajúcich do kontaktu s osobnými údajmi. Napokon môžu byť do dokumentu zaradené aj bezpečnostné postupy, ktoré sa prevádzkovateľ rozhodol v súvislosti so spracovaním osobných údajov dodržiavať.
Pri realizácii internej analýzy a jej zdokumentovaní možno postupovať podľa nasledovných bodov:
- V prvom rade je vhodné vymedziť postavenie analyzovaného subjektu z hľadiska spracovania osobných údajov – určiť, v akej súvislosti osobné údaje spracúva a či je v postavení prevádzkovateľa alebo sprostredkovateľa. Keďže vymedzenie postavenia úzko súvisí s určením účelu spracovania, tu možno hneď určiť aj účely spracovania jednak z pohľadu prevádzkovateľa ale aj v súvislosti so sprostredkovateľskou pozíciou.
- Ďalej je potrebné stanoviť, aké právne základy spracovania osobných údajov boli identifikované, t. j. či ide napríklad o i) nevyhnutnosť plnenia zmluvy (často pri klientoch, ale aj pri zamestnancoch); ii) nevyhnutnosť spracúvania údajov podľa osobitného predpisu (napríklad pri zamestnancoch); iii) oprávnený záujem (napríklad pri existujúcich klientoch, ktorým sa zasiela newsletter) alebo či ide aj o iv) súhlas (pretože sa spracúvajú citlivé kategórie osobných údajov, napr. údaje o prekonaných ochoreniach). Tu je vhodné popísať tiež rozsah spracúvaných osobných údajov.
- Z hľadiska analýzy je veľmi dôležitá oblasť určenia – ktoré povinnosti vyplývajúce zo Všeobecného nariadenia a zákona č. 18/2018 Z. z. sa na analyzovaný subjekt nevzťahujú. Je potrebné uviesť, prečo a ako sa dosiahol záver, že sa na analyzovaný subjekt nevzťahuje, napr. povinnosť posúdenia vplyvu a predchádzajúcej konzultácie alebo povinnosť určiť zodpovednú osobu. Tu je dôležité byť konkrétny. Napríklad v prípade analyzovaného subjektu spracúvajúceho osobné údaje zhruba 3000 dotknutých osôb pôsobiaceho v Bratislave, kde žije zhruba 650.000 obyvateľov, možno povedať, že nejde o spracúvanie údajov vo veľkom rozsahu. Pri určení povinností, ktoré sa na prevádzkovateľa nevzťahujú, nemusí byť dôležité len geografické hľadisko, ale aj spôsob spracovania údajov (napr. len manuálne), prípadne rozsah spracúvaných osobných údajov (napr. len meno, priezvisko a telefónne číslo).
- V časti venovanej zákonnosti spracúvania osobných údajov je vhodné podrobnejšie rozobrať jednotlivé právne základy a najmä pri súhlase opísať spôsob, akým ho prevádzkovateľ získava, uchováva, prípadne aktualizuje. Pokiaľ ide o znenie súhlasu, resp. spôsob jeho získania od existujúcich klientov, je možné odkázať na príslušné prílohy k dokumentu a text súhlasu alebo komunikácie s klientmi v nich uviesť. V tejto časti sa možno venovať aj postupu pri získavaní osobných údajov od neplnoletých klientov, najmä ak sa ich údaje získavajú v prostredí internetu, napríklad prostredníctvom vyplnenia online objednávkového formulára.
- Pri zdokumentovaní splnenia informačnej povinnosti odporúčame presne opísať, ako prevádzkovateľ alebo sprostredkovateľ informácie dotknutým osobám poskytuje a prečo práve takým spôsobom. Môže to byť napríklad zverejnením textu na svojich internetových stránkach v časti ochrana osobných údajov, najmä v prípade, ak získava údaje klientov prostredníctvom internetu. Možno tiež odkázať na príslušné prílohy k dokumentu, v ktorých sú pripravené konkrétne texty k splneniu informačnej povinnosti.
- Dôležitým bodom je časť, v ktorej sa identifikujú tretie strany, ktoré majú vo vzťahu k analyzovanej osobe postavenie sprostredkovateľa. Tu je vhodné tiež popísať postavenie analyzovaného subjektu ako sprostredkovateľa k iným prevádzkovateľom. Identifikácia sprostredkovateľov je dôležitá najmä preto, aby analyzovaná osoba vedela, s kým má uzatvoriť sprostredkovateľskú zmluvu. V prílohe dokumentu môže byť prispôsobený vzor sprostredkovateľskej zmluvy pre analyzovaný subjekt. Pri posúdení analyzovaného subjektu ako sprostredkovateľa sa okrem identifikácie prevádzkovateľov zameriame tiež na to, či sa nemení účel, právne základy a rozsah spracúvania.
- V ďalšej časti analýzy sa môžeme venovať prenosu osobných údajov, najmä ak ide aj o prenos osobných údajov do tretích krajín nezaručujúcich primeranú úroveň ochrany. Ten môže byť napríklad nevyhnutný na splnenie predmetu zmluvy medzi prevádzkovateľom a jeho klientmi, ktorí si objednajú nejaké služby v tretích krajinách.
- Bezpečnostné opatrenia, by mali byť vyústením analýzy postavenia prevádzkovateľa pri spracovaní osobných údajov. Ak prevádzkovateľ využíva sofistikovanejšie online aplikácie alebo spracúva aj údaje pri prijímaní platieb prostredníctvom platobných kariet (kedy by mal spĺňať napr. príslušné požiadavky, tzv. PCI DSS compliance) je potrebné, aby venoval dátovej bezpečnosti osobitnú pozornosť. Ak má analyzovaný subjekt svojho externého poskytovateľa IT služieb, je dobré, aby spolu s ním, prípadne s ďalšími externými dodávateľmi vypracovali bezpečnostné smernice a prijali potrebné technické opatrenia. Bezpečnostné postupy možno zahrnúť priamo do dokumentu alebo ich možno vyčleniť do osobitných dokumentov technickejšieho charakteru.
Z hľadiska internej analýzy sú vyššie popísané body v zásade postačujúce. Do dokumentu však možno zaradiť aj ďalšie časti, ako napríklad popis zásad spracúvania osobných údajov a popis práv dotknutých osôb, prípadne pokyny pre zamestnancov spracúvajúcich osobné údaje. Najmä v prípade, ak bude dokument použitý aj na účely informovania zamestnancov. K dokumentu je tiež vhodné pripojiť prílohy obsahujúce konkrétne popisy prijatých opatrení alebo texty s nimi súvisiace, prípadne tiež záznam o spracovateľských činnostiach.
Výhody a zmysel internej analýzy a jej zdokumentovania
Opísaný postup analýzy a jej zdokumentovania vrátane zhrnutia prijatých opatrení v jednom dokumente považujeme za vhodný spôsob realizácie princípu zodpovednosti prevádzkovateľa. Keďže príprava sa nezaobíde bez angažovania interného zamestnanca prevádzkovateľa, dochádza aj k reálnemu porozumeniu téme a dobrej príprave na prípadnú kontrolu zo strany Úradu na ochranu osobných údajov.
Evidencia analýzy a popis prijatých opatrení v jednom dokumente môže tiež byť celkom jednoduchý spôsob ako s problematikou oboznámiť osoby, ktoré u prevádzkovateľa prichádzajú do kontaktu s osobnými údajmi. Ak si to prevádzkovateľ želá, možno do dokumentu priamo zahrnúť pokyny pre tieto osoby v zmysle §39 ods. 4 zákona č. 18/2018 Z. z. o ochrane osobných údajov.
Určite sú aj iné vhodné spôsoby ako zabezpečiť súlad, veríme však, že reálne splnenie povinností vyplývajúcich zo Všeobecného nariadenia bez internej analýzy nie je možné. Zdokumentovanie internej analýzy spoločne s opisom prijatých opatrení sa v našej praxi osvedčilo, klienti sú spokojní, keď sú spolu súvisiace záležitosti uložené na jednom mieste. Evidencia internej analýzy v písomnej podobe je nespochybniteľný dôkaz toho, že prevádzkovateľ neurobil niečo mechanicky, formálne a bez uváženia. Aj keby mal úrad v prípade kontroly na niečo v konečnom dôsledku odlišný názor, bude zrejmé, z čoho prevádzkovateľ vychádzal a bude evidentné, že sa problematikou podrobne zaoberal. Úrad to môže zohľadniť aj pri stanovení sankcie.
Poznámka k určovaniu zodpovednej osoby
V súvislosti s internou analýzou a jej zdokumentovaním by sme radi poukázali na problematiku určovania zodpovednej osoby. Stretávame sa s tým, že najmä menší prevádzkovatelia a sprostredkovatelia určujú zodpovednú osobu napriek tomu, že túto povinnosť nemajú. Ako príklad môžeme uviesť malú s.r.o. s jedným zamestnancom, ktorej predmetom činnosti je spracovanie účtovníctva a mzdová a personálna agenda. Externá firma odporučila tomuto prevádzkovateľovi, aby určil zodpovednú osobu, t. j. aby poveril externým výkonom funkcie zodpovednej osoby práve túto externú firmu (za odplatu). Hoci mzdové účtovníctvo zahŕňa spracúvanie osobných údajov dotknutých osôb ako jednu z hlavných činností prevádzkovateľa, podľa nášho názoru nejde o pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu s prihliadnutím na počet klientov takejto malej účtovnej firmy, ale aj na účel a spôsob spracovania. V usmernení pracovnej skupiny zriadenej podľa článku 29 Všeobecného nariadenia (WP 29) sa ako príklad toho, čo nepredstavuje spracúvanie vo veľkom rozsahu, uvádza spracúvanie dát pacientov jednotlivým všeobecným lekárom. A to je z hľadiska rozsahu, účelu a spôsobu spracovania obdobné spracúvaniu dát klientov mzdovou účtovníčkou.
Pracovná skupina WP 29 uvádza v súvislosti s určením zodpovednej osoby aj nasledovné:
„WP29 odporúča, aby si prevádzkovatelia a sprostredkovatelia zdokumentovali internú analýzu, ktorú vykonali s cieľom rozhodnúť, či má byť zodpovedná osoba určená alebo nie, aby boli schopní demonštrovať, že riadne vzali do úvahy všetky relevantné faktory. Takáto analýza má byť súčasťou dokumentácie v súlade so zásadou zodpovednosti prevádzkovateľa/sprostredkovateľa. Môže byť požadovaná regulátorom a mala by byť aktualizovaná v prípade potreby, napríklad ak prevádzkovatelia alebo sprostredkovatelia začnú vykonávať nové aktivity alebo poskytovať nové služby…“
A tým sa vraciame k presvedčeniu, že hlavná zmena, ktorú Všeobecné nariadenie prinieslo, je potreba analýzy, zváženia všetkých faktorov a zamyslenia sa, ako protikladu k mechanickému vypĺňaniu formulárov a nadbytočnému vyžadovaniu súhlasov. Veríme, že zákony tu nie sú, aby sa len mechanicky dodržiavali, ale preto, aby prinášali úžitok.